Itt elidőznék a biztonsági tesztelés meghatározásánál.
Az, ha van egy olyan bug, ami ránézésre bűzlik, pl. hogy hogy jelszó resetnél visszajön a plain text, vagy akár egy F&szfej_ID jellegű hibára való figyelemfelkeltés, szerintem még nem a biztonsági tesztelés kategóriája. A paraméter átírás lehetőségét sem sorolnám ide, de gondoljunk bele, akkor hova soroljuk az SQL injection kísérleteket? Hiszen ez is paraméter átírás. Pedig szerintem egyetértünk abban, hogy az SQL injection már erősen nem etikus.
A határ elég keskeny, én ha törvény alkotó lennék, gondot okozna a pontos megfogalmazás.